Veel gebruikte harde schijven bevatten gevoelige informatie

Gebruikte harde schijven die worden verkocht worden onvoldoende gewist. Gevoelige informatie van de vorige eigenaar is hierdoor relatief eenvoudig terug te halen. Zowel zakelijke verkopers als particulieren gaan de fout in.

Dit blijkt uit onderzoek van Kroll Ontrack, waarbij 64 gebruikte SSD en HDD schijven zijn onderzocht die door zowel particuliere als zakelijke verkopers via het internet werden aangeboden. Bij slechts 34 schijven (53%) kon geen data worden achterhaald. Op maar liefst 30 schijven (47%) stond persoonlijke informatie van de vorige eigenaar, waarvan 18 schijven zelfs zeer privacygevoelige data bevatten. Bij 8 schijven werd accountinformatie gevonden inclusief login-data zoals voornamen, achternamen, contactgegevens, emailadressen, gebruikersnamen en wachtwoorden. Bovendien werden er op 9 schijven transactiegegevens gevonden waaronder bedrijfsnamen, salarisinformatie, creditcardnummers, investeringsinformatie, gegevens van bankrekeningen en belastingteruggaves.

Bedrijfskritische data op particuliere apparaten

Dat ook op particulieren apparaten bedrijfskritische data kan staan werd tijdens het onderzoek nogmaals onderstreept. Op 6 schijven die zijn verzonden door particulieren verkopers stond zakelijke informatie, waaronder CAD bestanden, pdf’s, jpg’s, sleutels en wachtwoorden. Kroll Ontrack vond daarnaast ook een installatiebestand voor een webwinkel, configuratiebestanden, POS training video’s, inkooporders en rekeningen.

Het meest schrijnende geval was een harde schijf van een bedrijf die tweedehands apparatuur verkocht en het wissen overliet aan een serviceprovider. Ondanks dat het bedrijf in de veronderstelling was dat de schijf gewist was bleek er nog steeds een grote hoeveelheid gevoelige informatie op te staan. Kroll Ontrack vond onder andere gebruikersnamen, thuisadressen, telefoonnummers en creditcardinformatie. Daarnaast werd er ook een lijst met persoonlijke informatie van 100 werknemers gevonden met onder andere functietitels, adressen, telefoonnummers, talenkennis en vakantiedagen.

SSD's zijn moeilijker te wissen

Kroll Ontrack waarschuwt dat SSD's moeilijker te wissen zijn dan HDD's. Kingston Technology, een fabrikant en expert op het gebied van SSD, onderschrijft dit en geeft aan dat SSD en HDD-schijven enorm verschillen in technologie. SSD heeft verschillende functies die van invloed zijn op de herstelbaarheid van opgeslagen data zoals Flash Translation Layer (FTL), wear leveling, trim command, garbage collection en automatische hardware-encryptie.

Deze laatste functie bijvoorbeeld staat altijd standaard aan bij SSD’s. Elke keer dat de SSD gebruikt wordt vraagt de controller het systeem om een sleutel voor het activeren van de leesfunctie. Er kunnen problemen ontstaan wanneer de controller beschadigd raakt of er een firmwarefout optreedt. Vanuit een data recovery oogpunt adviseert Kroll Ontrack om software encryptie te gebruiken zodat dataverlies in de toekomst eenvoudiger te herstellen en te wissen is.

Strikt beleid voor het vernietigen van data

“Wij stonden versteld toen we zagen hoeveel gevoelige data er nog op sommige schijven stond. Hoewel we niet altijd konden nagaan welke wismethodiek er was gebruikt hadden minstens acht verkopers geen enkele poging gedaan om de gegevens te verwijderen. Het is dan ook erg zorgelijk om te zien dat mensen, vaak onbewust, de identiteit en privacy van zichzelf en anderen in gevaar brengen,” aldus Jaap-Jan Visser, Country Manager bij Kroll Ontrack Nederland. “Met name voor bedrijven is het uiterst belangrijk om een strikt beleid te voeren bij het vernietigen van data. Niet alleen om reputatieschade en verder misbruik te voorkomen, maar ook met het oog op eventuele boetes vanwege de nieuwe meldplicht datalekken (GDPR/AVG) die op 25 mei 2018 van kracht gaat.”

Kroll Ontrack adviseert voor het wissen van HDD's en SSD's software te gebruiken waarmee de schijf op low level compleet wordt overschreven. Meerdere overschrijvingen bieden extra beveiliging, vooral wanneer gegevensverwijdering moet voldoen aan specifieke wettelijke overschrijfnormen.